De Europese Commissie werkt aan de zogenaamde ‘Cyber Security Act’, een verordening waarin een Europees raamwerk voor cyber security certificatie van ICT-producten en -diensten wordt vastgelegd. Onlangs heeft de Europese normalisatie-organisatie CEN-CENELEC de aanbevelingen van deze verordening gepubliceerd in een position paper.

De voorgestelde verordening regelt onder andere hoe certificatie op het gebied van cyber security moet worden georganiseerd, wie welke verantwoordelijkheden heeft en hoe certificatieschema’s worden ontwikkeld en beheerd. Certificatie vindt plaats op basis van eisen die in normen kunnen worden vastgelegd. Deze normen worden ontwikkeld door CEN-CENELEC.

De belangrijkste aanbevelingen zijn:

• Zorg voor eenduidige definities van ‘ICT-producten en -diensten’ zodat duidelijk is waarop de verordening betrekking heeft;
• Maak gebruik van bestaande normen en normalisatiestructuren voor het vastleggen van eisen aan producten en diensten;
• Pas het Nieuw Wetgevend Kader toe, waarin een duidelijke scheiding tussen wetgeving, normen en conformiteitsbeoordeling is vastgelegd;
• Neem zo min mogelijk technische eisen op in de verordening, zodat deze volledig toepasbaar is en blijft, ook bij toekomstige technische ontwikkelingen.